De risico’s van MS Teams: hoe veilig is het?

De snelle overstap naar MS Teams

Tijd om heel zorgvuldig na te denken over de gevolgen van het werken met Teams was er niet in het voorjaar. Het was al erg fijn als iedereen er een beetje mee kon omgaan, zodat het werk min of meer as usual kon doorgaan. Nu, zo’n driekwart jaar later, zijn de eerste opstarthordes wel genomen. Tijd dus om eens te kijken naar de manier waarop jouw organisatie Teams heeft ingericht. In dit artikel behandelen we drie vragen: Hoe staat het met de veiligheid? Hoe houd je grip op informatie? En in het verlengde ervan: hoe zijn de WOB, privacy en archivering geregeld?

Hoe veilig is MS Teams?

In het voorjaar was er veel te doen over de veiligheid van een aantal applicaties voor videobellen. Zeker toen meer mensen deze applicaties ook gingen gebruiken voor chatten, geven van presentaties en bestandsuitwisseling. Er waren incidenten waarbij videovergaderingen werden “gehackt”. Vaak bleek dat om beginnersfouten te gaan veroorzaakt door gebruikers zelf, maar daarom niet minder vervelend.

Wat zijn de veiligheidsrisico’s als je videobelt, bijvoorbeeld met MS Teams?

• Vergaderverzoeken blijken phisingmails te zijn.
• ‘Rondslingerende’ vergaderverzoeken waarmee vreemden inloggen.
• Vertrouwelijke documenten komen in beeld.
• Opnames van video’s worden op een slecht beveiligde plaats opgeslagen.
• Geïntegreerde apps van derden voldoen niet aan de juiste veiligheidseisen.

Hoe beperk je deze risico’s?

Op de website van het Nationaal Cyber Security Centrum staan tips voor veilig videobellen en online vergaderen. Bijvoorbeeld:

• Bespreek of deel geen vertrouwelijke informatie.
• Vul geen gegevens in die niet per se nodig zijn om de applicatie te gebruiken.
• Controleer of de encryptie staat ingeschakeld.
• Kijk wat er in beeld is. Voorkom dat er een whiteboard met allerlei ‘geheime’ informatie achter je staat.
• Beveilig vergaderingen zoveel mogelijk met een wachtwoord. Zeker als je met mensen gaat videobellen waarvan je een deel niet kent. Of als je een presentatie gaat geven aan grotere groepen. Dat maakt namelijk de kans dat een buitenstaander meekijkt zonder dat je het in de gaten hebt een stuk groter.
• Zet de mogelijkheid het scherm te delen voor iedereen standaard uit. Zet het alleen aan voor diegene die dit gaat doen. Daarmee beperk je het risico dat mensen per ongeluk een document vol vertrouwelijke informatie laten zien.
• Stuur de vergaderuitnodiging of -link alleen naar mensen die meedoen. Deel deze link niet op sociale media of een algemeen intranetkanaal.

Wat zijn de veiligheidsrisico’s van het thuisnetwerk?

Mogelijke zwakheden in het netwerk van medewerkers thuis, is een risico dat vaak niet wordt genoemd. Voorbeelden van veelvoorkomende zwakheden zijn:

• Modem staat nog op standaard gebruikersnaam en wachtwoord van de provider.
• Gasten mogen inloggen op het thuisnetwerk in plaats van een speciaal gastennetwerk.
• Wifi-extenders staan nog op standaard gebruikersnaam en wachtwoord van de leverancier.
• Medewerkers maken thuis geen gebruik van een passwordmanager en slaan inloggegevens op in bijvoorbeeld een notitie-app.

Hoe beperk je deze risico’s?

Het maken van aanpassingen in de settings van modems en extenders vereist kennis die lang niet iedereen heeft. Wel kun je medewerkers erop wijzen dat ze hier attent op moeten zijn. En ze eventueel aanbieden ze te helpen dit op orde te krijgen.

MS Teams en zaakgericht werken: grip op informatie

Met Teams is het vaak veel gemakkelijker om op afstand samen aan zaken te werken dan via het zaak- of DMS-systeem. Dus zijn medewerkers dit ook gaan doen. Dit brengt wel een aantal risico’s met zich mee.

Wat zijn de risico’s voor informatiebeheer als je MS Teams gebruikt?

• Informatie wordt dubbel of gefragmenteerd opgeslagen, waardoor niet meer duidelijk is welke informatie juist en actueel is.
• Informatie is onbedoeld toegankelijk voor mensen van buiten de eigen organisatie. Via Teams kun je namelijk erg handig ook met externen samenwerken. Maar als je niet oplet, geef je die externen ook toegang tot gegevens die niet voor hen bestemd zijn.
• Een wildgroei aan teams in Teams maakt gestructureerd werken moeilijk. Maak je voor ieder project een apart team aan? En misschien ook nog wel voor ieder deelproject? Het lijkt handig, maar als je niet oplet weet niemand meer waar welke projecten besproken worden en staat informatie uiteindelijk overal en nergens.

Hoe beperk je de risico’s voor je informatiebeheer?

Leveranciers van zaaksystemen zijn bezig om Teams te integreren in hun product, maar die integratie hebben ze in veel gevallen nog niet opgeleverd. Voorlopig zul je dus zelf moeten opletten welke informatie je waar opslaat en met wie je die deelt:

• Maak heldere spelregels over het gebruik van Teams. Waar gebruik je het voor? Om onderling berichten uit te wisselen? Om met elkaar te videobellen? Om samen te werken aan documenten en zaken?
• Controleer de settings in Teams. Teams biedt volop mogelijkheden te voorkomen dat ongewenste situaties kunnen ontstaan. Zo kun je eenvoudig instellen of externen toegang kunnen krijgen en welke medewerkers eigen teams kunnen aanmaken.
• Maak afspraken over welke informatie mag worden opgeslagen in Teams. Betrek hierbij hoe makkelijk de medewerkers vanuit huis bijvoorbeeld in het zaaksysteem kunnen werken. Als dat veel moeite kost of omslachtig is, overweeg dan Teams te gebruiken.
• Maak afspraken over het opruimen van gegevens en archivering.

MS Teams en WOB, privacy en archivering

In Teams kan veel informatie worden opgeslagen. Denk aan bestanden, gespreksverslagen, en de notulen en opnames van videovergaderingen. Plus nog eens gegevens die via geïntegreerde apps in Teams terechtkomen. Het zijn allemaal gegevens die net als alle andere gegevens bij een WOB-aanvraag betrokken moeten worden, waarop de AVG van toepassing is en waarvoor ook de spelregels rond archivering gelden.

Wat zijn de risico’s van MS Teams voor WOB, privacy en archivering?

• Archiefwaardige gegevens worden niet gearchiveerd.
• Bij een WOB-verzoek wordt niet alle relevante informatie geleverd.
• Persoonsgegevens worden gedeeld met of zijn toegankelijk voor mensen die daar geen toegang toe mogen hebben.
• Overtreding van de AVG als je een opname maakt van een gesprek. De mededeling in beeld dat je akkoord gaat met een opname als je bij de vergadering blijft, is niet de manier waarop je volgens de AVG toestemming moet vragen.

Hoe beperk je de risico’s voor WOB, privacy en archivering?

• Ook hiervoor geldt: denk allereerst na waarvoor je Teams gaat gebruiken. Om onderling berichten uit te wisselen? Om met elkaar te videobellen? Om samen te werken aan documenten en zaken?
• Regel vervolgens de archivering op een manier die past bij die afspraken. Controleer ook of die regels worden nageleefd. Wijs desnoods in ieder team iemand aan die verantwoordelijk is voor de juiste archivering van documenten en dergelijke uit Teams naar het zaaksysteem of DMS.
• Voor video-opnames moet eigenlijk iedereen voor iedere vergadering zwart op wit toestemming geven. Dat is praktisch niet te regelen, omdat Teams geen goede toestemmingsfunctie kent. Meld daarom in ieder geval aan het begin van de vergadering of je een opname wilt maken. Zo ja, vraag dan of mensen daar bezwaren tegen hebben. Doe dit bij voorkeur via de chat. Dan kun je in ieder geval documenteren dat je toestemming hebt gevraagd en dat je hebt verteld wat je met de opname gaat doen en hoe lang je die bewaart.

Bronnen en handige links:

• Nationaal Cyber Security Centrum over Videobellen en online vergaderen